| Сейчас на форуме: (+6 невидимых) |
 |
eXeL@B —› Вопросы новичков —› CRYPTO в общих чертах для новичков |
| Посл.ответ | Сообщение |
|
|
Создано: 07 сентября 2010 19:22 · Поправил: Модератор · Личное сообщение · #1 Знающие люди,расскажите пжлста общими словами про использование крипто как защиты. запускаю DIE,запускаю в ней плагин KryptoAnalizer, сканирую в ней прогу, и она выдает што то типа: см. картинку 111... это значит, что какие то отдельные участки кода проги зашифрованы этим алгоритмом? и в проге есть дешифратор который при работе проги расшифрует эти участки для работы проги? и когда я в Олли изучаю прогу ,то раз некоторые участки зашифрованы то я не увижу эти самый условные переходы подправив которые я сниму регистрацию да? в Олли я вижу в некоторых местах что то типа : см. картинки 222 и 333 картинки 222 и 333 отличаются только тем что я мышью скроллом вверх вниз сделал и окно вниз и вверх прокрутилось а код изменился...это что за такое? и последнее, как ломать такую прогу? как расшифровать участки эти? прогой какой или как еще? я добрел там до одного места, push ebx ,а вот нам не надо сюда, то есть какой то переход нас сюда направил, на НАГ скрин, а ставлю курсор на этот пуш и ссылки откуда мы сюда придти могли не отображается. ни колла, ни перехода, ни джампа сюда не ведет. От модератора: крипто ту и не пахнет. текст дизасма выкладывай текстом в теге код, а не картинками  |
|
|
Создано: 07 сентября 2010 19:58 · Личное сообщение · #2 Ну прям детсад какой-то. И как это мы без инета сами умели находить ответы на свои вопросы? Cейчас и интернет есть и поисковики умные и масса полезной литературы, а вопросы всё веселее и веселее. ----- Следуй за белым кроликом |
|
|
Создано: 07 сентября 2010 20:03 · Личное сообщение · #3 volox79 пишет: картинки 222 и 333 отличаются только тем что я мышью скроллом вверх вниз сделал и окно вниз и вверх прокрутилось а код изменился...это что за такое? это не идеальный анализатор в оли ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 08 сентября 2010 13:12 · Личное сообщение · #4 а прогу можно увидеть? |
|
|
Создано: 08 сентября 2010 13:18 · Поправил: Isaev · Личное сообщение · #5 volox79 пишет: это значит, что какие то отдельные участки кода проги зашифрованы этим алгоритмом? Это ещё вообще ничего не значит... Программа может их использовать (а может даже и нет) и не обязательно для защиты ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 08 сентября 2010 17:51 · Личное сообщение · #6 www.softsoft.ru/graphic-apps/animation-tools/3734.htm вот прога GetWindowsTextA,GetDlgitemtextA не срабатывают. После ввода пароля до нажатия кнопки подтверждения его нет в дампе в Олли. После нажатия брякаюсь видимо слишком поздно где то,поэтому пароля в дампе тоже нет. возможно пароль шифруется. |
|
|
Создано: 08 сентября 2010 21:26 · Поправил: gena-m · Личное сообщение · #7 GetWindowsTextA,GetDlgitemtextA не срабатывают bp MessageBoxW, bp MessageBoxА срабатывает? У меня срабатывает и приводит к следующему: поэтому пароля в дампе тоже нет я его тоже поиском не нахожу (и уже не в первый раз сталкиваюсь с такой проблемой), поэтому поиску не доверяю, хотя в памяти он есть, наверное у тебя тоже: 00E43B6C 67 00 65 00 6E 00 61 00 g.e.n.a. 00E43B74 2D 00 6D 00 00 00 00 00 -.m..... стек: Code:
вершина стека - 12F2A4 я нахожусь здесь: Code:
соответственно делай выводы (пароль не шифруется) и ищи как он туда попадает, если интересно, или смотри что с ним делается дальше. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 08 сентября 2010 23:09 · Личное сообщение · #8 gena-m пишет: 00E43B6C 67 00 65 00 6E 00 61 00 g.e.n.a.00E43B74 2D 00 6D 00 00 00 00 00 -.m..... это где такое увидел? в Олли? или в другой какой программе? Олли не показывает, поиск в ней не находит. как просмотреть память ? 004906BF |. /74 66 JE SHORT Aesop.00490727 -этот прыжок ведет на мессагу о неправильном пароле а сюда я выходил, менял переход на JNZ но все равно движемся вниз на НАГ мессагу. |
|
|
Создано: 08 сентября 2010 23:51 · Личное сообщение · #9 нажатие OK обрабатывается с 64F5D4 сообщение Application has been successfully regi появляется, если после mov eax, [ebp+var_4] mov edx, offset off_64F6A0 call sub_406F6C в eax и edx одинаковые значения, правда замена на этом этапе полезна только text:0064F663 mov byte ptr [eax+738h], 1, который проверяется в форме About |
|
|
Создано: 09 сентября 2010 06:17 · Поправил: gena-m · Личное сообщение · #10 Олли не показывает, поиск в ней не находит. как просмотреть память ? Специально для тебя дал стек в нем адрес строки с введенным паролем, вершину стека указал, посчитать смещение, щелкнуь мышью на окне стека и проскролить вниз я надеюсь тоже сможешь на величину смещения, после этого посмотришь адрес расположения строки у себя, поскольку адреса у нас могут отличатся. Во вторых невнимательно мой пост читаешь, я тоже поиском его не нахожу, хотя он есть. а сюда я выходил А стек за тебя кто будет просматривать? ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 10 сентября 2010 20:44 · Поправил: Модератор · Личное сообщение · #11 черт. работает поиск еп. вводить пароль в поиске надо не в аски а в строку юникод!!! )) UNICODE "gena-m" написано ведь юникод, gena-m а ты в аски тоже вводил в поиске? а введенный пароль проверяется программой до нажатия на ОК??? От модератора: Разгляди наконец кнопку Правка и не плоди однострочные посты подряд |
|
|
Создано: 10 сентября 2010 21:47 · Личное сообщение · #12 volox79 внимательно прочитай то, что тебе ответили наличие в коде криптографических паттернов отнюдь не означает, что код зашифрован изучи азы обращения с отладчиком по статьям для новичков, многие вопросы отпадут сами собой volox79 пишет: а введенный пароль проверяется программой до нажатия на ОК??? нет ----- EnJoy! |
|
eXeL@B —› Вопросы новичков —› CRYPTO в общих чертах для новичков |
Для печати